CN106605397A - 安全编排框架 - Google Patents
安全编排框架 Download PDFInfo
- Publication number
- CN106605397A CN106605397A CN201580046197.5A CN201580046197A CN106605397A CN 106605397 A CN106605397 A CN 106605397A CN 201580046197 A CN201580046197 A CN 201580046197A CN 106605397 A CN106605397 A CN 106605397A
- Authority
- CN
- China
- Prior art keywords
- dxl
- message
- context data
- client
- making
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Artificial Intelligence (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
在示例中,公开了一种计算装置,所述计算装置包括:网络接口;一个或多个逻辑元件,所述逻辑元件提供安全编排服务器引擎,所述安全编排服务器引擎可操作用于:通过网络接口从客户端接收上下文数据;将所述上下文数据提供给安全编排状态机,所述安全编排状态机可操作用于从所述上下文数据中导出策略决策;并且从所述策略编排状态机接收所述策略决策。还公开了:一种或多种其上存储有可执行指令的有形非瞬态计算机可读介质,所述可执行指令用于提供安全编排引擎;以及一种提供安全编排引擎的方法。
Description
相关申请的交叉引用
本申请要求于2014年10月26日提交的题为“Security Orchestration Framework(安全编排框架)”的美国临时申请号62/068,727以及于2015年6月27日提交的题为“Security Orchestration Framework(安全编排框架)”的美国实用新型申请号14/752,867的优先权,所述申请通过引用结合在此。
技术领域
本公开总体上涉及计算机安全领域,并且更具体地(但是不排他地)涉及一种用于提供安全编排框架的***和方法。
背景技术
传统安全框架提供了如文件和设备等多种资源,并且限定了具有与这些资源相关的某些权限的用户或分组集合。例如,用户“joe”可以属于***上的分组“用户”,比如类Unix的或基于Windows的***。Joe可以对其“主”目录进行读和写访问两者,并且作为分组“用户”的一员,还可以对某些***资源(比如***驱动程序)进行只读访问。
附图说明
当与附图一起阅读时,将从以下详细描述中最充分地理解本公开。要强调的是,根据行业中的标准实践,各种特征不一定按比例绘制,并且仅用于说明目的。在清楚地或隐含地示出比例的地方,这仅提供一个示意性示例。在其他实施例中,为了讨论清楚,不同特征的尺寸可以被任意放大或减小。
图1是根据本说明书的一个或多个示例的情境感知网络的框图。
图2是根据本说明书的一个或多个示例的数据交换层(DXL)的框图。
图3是根据本说明书的一个或多个示例的DXL端点的框图。
图4是根据本说明书的一个或多个示例的服务器的框图。
图5是根据本说明书的一个或多个示例的DXL体系结构的框图。
图6是根据本说明书的一个或多个示例的安全企业的框图。
图7是根据本说明书的一个或多个示例的安全编排框架的选定方面的框图。
发明内容
在示例中,公开了一种计算装置,所述计算装置包括:网络接口;一个或多个逻辑元件,所述逻辑元件提供安全编排服务器引擎,所述安全编排服务器引擎可操作用于:通过网络接口从客户端接收上下文数据;将所述上下文数据提供给安全编排状态机,所述安全编排状态机可操作用于从所述上下文数据中导出策略决策;并且从所述策略编排状态机接收所述策略决策。还公开了:一种或多种其上存储有可执行指令的有形非瞬态计算机可读介质,所述可执行指令用于提供安全编排引擎;以及一种提供安全编排引擎的方法。
本公开的实施例
以下公开内容提供了用于实施本公开的不同特征的许多不同实施例或示例。以下描述了部件和安排的具体示例以便简化本公开。当然,这些仅是示例并且并不旨在是限制性的。另外,本公开在各种示例中可以重复参考标号和/或字母。这种重复是为了简单和清晰的目的,并且本身并不指定所讨论的各种实施例和/或配置之间的关系。
不同实施例可以具有不同优点,并且不一定需要任何实施例的任何特定优点。
计算机安全是信息时代的典型问题。随着时间的发展,计算机安全已经成为一方面恶意行为者与另一方面安全人员之间的虚拟军备竞赛。当安全人员开发新的安全技术来击败恶意行为者时,恶意行为者尽他们所能快速地适应以击败新的安全机制。
情境感知策略是安全人员的箭筒中一支有力的箭。在情境感知策略中,用户不是简单地被授权访问资源,或相反被拒绝对资源的访问,而是可以基于用户情境的和认证强度为每个资源定义一组高粒度策略。
这种***解决了用户越来越多地通过便携式设备(通常是“自带设备”(BYOD)模型)访问企业服务和资源的世界的现实,其中,允许并甚至可能鼓励用户提供其自己的移动设备。因而,即使企业应用程序和数据良好地保护在数据中心,安全水平在客户端设备上会广泛地变化。客户端设备和用户因此会成为容易攻击的目标,例如通过社交工程、零天利用等。而且,设备通常保持与有特权的服务(比如电子邮件、敏感文档共享、和代码储存库)连接,或将敏感数据下载至这些服务,甚至在用户不主动地执行企业任务时。一旦数据或资源驻留在客户端设备上,攻击者就可以通过破解来获取用户实际上的权限。
例如,当已授权用户物理上在受企业控制的办公空间内时,可以期望授予她对特别敏感文档的完全访问。一旦这个用户离开该物理办公空间,仍然可以期望允许她读取和浏览该文档,但不允许她对其进行修改。策略上的这种差别反映了两个不同位置的相对安全特征。认证强度还可以形成一个可以有效地通知关于授予什么权限的情境。例如,如果用户通过周认证机制(比如单因素认证,像用户名和密码)进行认证,与已经向更强的机制(比如,双因素认证)认证过的用户相比,可能期望限制或限定这个用户。此外,即使在多种认证类型中,也可以识别相对强度。例如,一些安全研究者认为指纹是相对弱的生物认证机制。另一方面,可以认为视网膜扫描是强壮得多的生物认证方法,因为它更加难以假冒。因而,相对于通过视网膜扫描来认证的用户,可以期望例如对通过指纹进行认证的用户添加附加限制。
情境还可以包括许多其他环境因素。例如,情境可以包括:计算设备附近智能标记或其他RFID设备的存在、用户的物理位置、房间或设施内不只一个个体的存在、用户处于静止还是运动、用户在组织或层次中的位置、组织内其他项的可用性、用户正操作的设备的通用唯一标识符(UUID)、实时医学遥测(比如像脉搏和出汗)、以及可以对用户访问某些资源的的可靠性或权限有影响的任何其他适当环境因素。
在一些示例中,启发法还可以在情境感知策略中起作用。例如,用户的日常习惯会提高用户真实的概率。例如,如果用户习惯性地早上在家登录以检查她的邮件,然后离开家去附近的餐厅吃早餐,并在早餐时通过她的膝上计算机对文件进行操作,并且如果她然后习惯性地在约早上9点去工作,这种模式可以被牢记为启发式数据,所述启发式数据在用户遵守这种模式时可以提高置信度或在用户与这种模式不同时降低置信度。如果用户与她的模式不同,在允许她访问某些资源之前会要求附加的认证令牌。如果用户一贯地改变所述模式,从而形成新的习惯,则也可以启发地牢记新的习惯。
并且在另一示例中,可以将用户的日历与其他数据情境地相关从而提高或降低置信度。例如,用户计划在10:30在会议室参加会议,并在10:35从会议室内登陆。这可以反映用户真实的相对较高置信度。类似地,如果用户正常地驻扎在洛杉矶,她从西雅图的咖啡馆尝试登陆会相对可疑。然而,如果根据她的日历,用户计划这个周在西雅图进行商务旅行,则从西雅图尝试登陆会相对不太可疑。类似地,从西雅图的分公司尝试登陆与从咖啡馆尝试登陆相比会不那么可疑。
许多其他情境的示例、以及具体情境对认证和资源可用性和用途的影响是可能的。本说明书的范围并不旨在受限于任何具体情境、或与该情境相关的任何具体权限方案。
情境计算时出现的一个问题是需要不断地定义新的情境,并将附加传感器和资源集成到情境感知策略中。因而,期望定义一种允许管理员无缝地实现和施展情境感知安全策略的框架。伴随着这种框架在适当位置,极大地减轻了管理员的任务,因为可以就策略做什么而非怎样进行这些策略的细节对其进行定义。
可以将操作原理总结如下:
a.每个安全控件(或传感器)可以配备有情境感知能力、策略决策能力、和策略实施能力。(最后两项是传感器可选的。)在示例中,控件对其自身起作用,从而以这个顺序执行对应的功能。
b.这三种功能逻辑上依赖于每个控件,从而允许它们被独立地调用,例如通过应用程序编程接口(API)。
c.可以将多个控件连接和部署在不同位置,伴随不同可见度和控制类型。在示例中,数据交换层(DXL)提供一种结构从而使得所述各控件可以作为统一***运行。这种***本质上充当超级控件,具有个体基本控件的组合的感测、决策、和实施能力。
这使得任意数量的另外独立安全控件能够被融入统一***,所述统一***具有比其各零件的总和大得多的能力。可以将策略决策逻辑从个体控件抽离并集中化(如果至少在某些程度上不是完全必要的)从而提供以下优势:
a.使得能够将附加的自组织智能逻辑、情报、和分析法注入实施策略决策。
b.使得总体决策逻辑能够捕捉情境并驱动在空间和时间的多个点上错开的行动。
某些实施例可以提供软件定义网络(SDN)的选定特征,其中,联网控制面在逻辑上与数据面分开并被集中化。这允许复杂网络策略应用程序于宽广的网络上,同时利用商品切换基础设施。换言之,策略感测可以分布至个体设备,这可以保证感测以正确顺序发生。策略决策可以被中央地聚合,从而使得个体设备不需要真空中进行重要策略决策,反而中央服务器具有看见整个情境的必要可见性。最终,根据具体实现方式的需要,可以在服务器和最终设备两者上提供实施。
这允许网络管理员(例如)基于前述内容就给定的情境、所需的认证水平、和粒度访问权限来定义策略。例如,管理员可以定义5个认证水平,其中1为最低(弱认证),并且5为最高(非常强的认证)。针对任何给定情境,管理员可以基于认证水平识别访问策略的粒度集合。
有利地,使用本说明书的结构,管理员不需要自己考虑情境是怎样导出的、或所使用的特定认证方法。例如,可以从GPS、设备的UUID、无线或蜂窝网络、或任何其他适当情境传感器导出情境。类似地,通过非限制性示例,可以通过任何适当手段(比如密码、RFID令牌、生物认证、一次性密钥、或双因素认证)提供认证。基于情境和认证强度,服务器可以决定赋予什么权限,并且服务器和用户设备可以共同地实施策略。
然而,如果传感器或设备获取了新的能力,不存在相应的更新情境安全策略的需要。例如,如果之前仅提供指纹认证(第3层,在示例中)的设备后来获取了视网膜扫描能力(第5层,在示例中),所述策略可以保持在适当的位置,因为所述策略自己不考虑怎样实现认证水平,仅考虑实现什么水平。类似地,如果设备具有视网膜扫描能力,但之后获取了至少一样强壮的新的前沿认证技术,类似地不需要更新所述策略。反而,所述新技术仅需要被指定“认证水平”值5。如果所述新技术甚至比视网膜扫描更好,可以定义新的水平“6”。在这种情况下,通过新方法进行的认证将对提供大于或等于5的认证水平的任何策略有效。
相反,一些现有的方式依赖一组端点安全控件,这些端点安全控件独立地寻找已知的坏元素。然而,每个控件仅可以有限地看到用户的总体任务情境。这允许目标攻击者通过情境外权限滥用来规避端点控件,因为控件不能够区分滥用与合法用户动作。
为了解决某些现有架构的限制,本说明书描述了一种新颖的架构,其中,通过使用通过DXL连接的(另外独立的)安全控件的生态***,一般安全编排框架使得能够连续且实时地应用程序自组织情境感知策略标准。可以使用来自给定环境中可用的那些的最佳控件集合实施策略。所述框架通过使得能够覆盖在空间和时间上跨多个点的情境和动作克服了个体控件的某些限制。
该方案还允许使用“分等级的”安全方式(与一体适用安全性相反),所述分等级的安全方式平衡了对生产力需要的强安全性考虑:赋予客户端设备/应用程序/用户的权限可以与情境/环境的可信度动态地匹配。
在一个示例中,可以在对数据交换层(DXL)起作用或与其一起运行的情境感知网络中实现本说明书的情境安全教导。情境感知计算(CAC)是一种计算类型,其中,关于人、地点和物的情形和环境信息用于预期迫切的需要并前摄地提供丰富的、情形感知、和可用功能和经验。情境感知计算依赖于关于世界(当它在***运行时刻时)的捕捉数据。
根据本说明书的一个或多个示例,“情境感知网络”是自适应***,包括例如互连服务的安全***,所述互连业务传达和共享信息以通过个体产品和/或作为一个集体进行实时准确决策。根据示例,网络、端点、数据库、应用程序和其他安全方案不再作为单独的“贮仓”运行,而是作为同步的、实时的、情境感知型且自适应型安全***。
在示例中,多个网络元件通过DXL彼此连接,DXL是尤其适用于安全相关信息的交换的一种企业服务总线(ESB)。如在此所使用的,“网络元件”包括任何类型的客户端或服务器(例如,视频服务器、网络服务器等)、路由器、交换机、网关、网桥、负载均衡器、防火墙、行内服务节点、代理、网络家电、处理器、模块、或可操作用于在网络环境中交换信息的任何其他适当设备、部件、元件、或对象。更确切地,DXL端点是通过DXL ESB交互的网络元件。DXL端点可以跨顾客网络分布并以可信的、安全的、且可靠的方式“实时地”通信。这可以提供增强的自动化和改进的安全服务。
在示例中,DXL端点被部署在网络内的战略位置从而侦听正在进行的业务活动、检查并对其进行解释,并最终确定它是否被授权;意味着例如与企业安全策略一致。在一些情况下,网络元件必须“在带内”进行此类决策,从而随时终止业务活动,并且“机器实时地”以足够低以避免业务活动中显著用户可感知的延迟的时延。
在一些情况下,网络元件可以仅通过其自己的独立分析和观察、并通过计划的定义更新(可以例如作为恶意软件定义每周地到来)独立地访问安全数据。
由于网络元件通常是异构型,并且可以通过临时地或自组织地方式部署(尤其是在现代网络中),实时情报成为了挑战,尤其是当“带内”决策必要时。此外,企业可以通过逐个的方式获得安全方案,从而使得一种产品不能一直假定另一种产品的存在。例如,可能不存在威胁情报的单个预定义储存库供网络元件咨询,并且定期恶意软件定义更新可能不包括最近发现的威胁。数据的表现和解释又提供另一挑战。网络元件可以使用不同的专有数据表现。从而,例如,甚至抗病毒扫描器可以不被配置成用于与基于网络的安全设备共享新发现的恶意软件信息。信息的可信度会是其他情境下的又另一挑战。换言之,即使抗病毒扫描器和基于网络的安全设备被配置成共享安全情报,各自可能不具有对从其他方接收的情报进行验证的装置。
在示例中,本说明书提供了数据交换层(DXL),所述数据交换层可以对基于轻型消息传输的通信基础设施(比如ESB)起作用并且被配置成允许短短共享上下文数据。DXL可以是更大的安全连接框架中的一个元件,所述框架可以是互连业务的自适应网络(比如,安全网络),所述互连业务传达和共享信息以通过个体安全产品和/或作为一个集体进行实时准确的安全性决策。根据示例,网络、端点、数据库、应用程序和其他安全方案不需要作为单独的‘贮仓’运行,而是作为同步的、实时的、情境感知型且自适应型安全***。
DXL建立在消息传输技术(比如ESB)之上,所述消息传输技术使得能够进行多种不同用例和能力(通过在多个不同产品之间共享情境的情境感知和自适应安全性,所述多个不同产品允许***件作为一个运行以在端点、网关、和其他使能安全情报和自适应安全性的安全产品之间共享相关数据(根据你所给的信息立即改变行为);对端点的超级命令或控制以及许多其他用例)。
通过使用出于安全性和管理目的的ESB消息传输,使能这些有利能力。DXL消息传输使能实时双向通信基础设置,所述实时双向通信基础设施通过使用单个应用程序编程接口(API)允许产品和方案彼此整合。每个设备可以通过DXL结构本质上共享它喜欢的任何数据,同时设备本身仅松散地耦合,并且不需要对公共或标准化协议起作用。
DXL消息类型的示例包括发布者-订阅者通知、队列响应、和推送信息。设备还可以共享事件,通过非限制性示例,包括安全相关事件、情境信息(关于节点、其用户的身份、所使用的应用程序、它们所找到的位置等)、命令、任务、和策略。
在安全连接框架的第一示例中,消息传输技术用于维护和增强企业安全性。在安全连接框架上共享的安全信息可以包括不只情境,并且通过非限制性示例还可以包括命令、任务、策略、和软件更新。从而,借助安全连接框架,所述基础设施能够起命令和控制管理基础设施的作用。所述基础设施还可以用于安全管理软件(SMS),比如迈克菲公司的ePolicyOrchestrator。SMS可以连接至DXL ESB,从而使得SMS能够跨整个网络提供命令和控制功能。
消息传输使能产品之间以松散耦合的方式整合,降低了两个或更多个产品为了整合而关于彼此所做的假设量。本实现方式使用嵌入有迈克菲代理并设置有软件库的单个API。
本说明书的安全连接框架还解决了对操作安全性的状态的控制问题。某些现有的安全管理方案不能够任意地与位于例如网络地址转换(NAT)边界的另一侧的所管理的设备发起通信。对于改变业务需要(通过非限制性示例,比如,云、移动化、和消费化)来说,挑战会变得更加复杂。
在这些情况下,受管理设备可以在不定的时间发起通信,留下打开的窗口,在该窗口中,企业被暴露至增加其无能力立即向所有节点推送策略改变、内容部署、和程序更新的风险。
在这种挑战的一个示例中,需要安全防护的编排作为对安全事件的直接反应。如贯穿本说明书所使用的,“安全事件”包括对个人和/或企业网络具有实质性分支的设备或网络上的事件。安全事件的非限制性示例包括实际或潜在入侵事件、用户或设备认证事件、审核事件、恶意软件事故、抗恶意软件更新、用户或设备名誉更新、物理入侵事件、数据损失、实质或重大数据的输入、或企业安全策略的改变。
在安全连接框架的第二示例中,提供了实时双向通信结构用于使能实时安全管理。确切地,某些现有的消息传输基本设施是基于一对多通信(发布-订阅)的。在本说明书的本示例中,发布-订阅能力被显著增强,从而使得通信可以是一对一的(例如,端对端)、或双向的(例如,询问-应答)。有利的是,该框架可以缩放至几百万同时连接的客户端,从而使得任何连接的客户端可以实时地或接近实时地达到任何其他连接的客户端,而不管所连接的客户端的物理位置如何。为此,DXL抽象层被设置在不同类型的连接的客户端之间,并充当中介通信介质。
如贯穿本说明书所使用的,“DXL消息”包括在DXL ESB上传达的任何消息。每个DXL消息包括至少一个“话题”;话题代表消息的主题。通过非限制性示例,主题可以包括威胁情报、情境、和事件。
通过设计,每个DXL端点被配置成订阅至少一个DXL消息主题(最低限度,用于将DXL消息路由至这个DXL端点的私人目的话题)。这使能管理平台(例如)与其管理的客户端中的一个或多个之间在DXL上的双向通信。
在安全连接平台的第三示例中,推送通知消息传输可以用于提高效率并降低不必要的网络流量。某些现有的推送通知消息传输***每个***发送一个通知,使得当这些***不订阅同一消息话题时将同一消息发送给多个不同***效率低。
然而,在本示例中,当推送通知被发送时,在每次定位的基础上产生聚合,所述消息伴随单个推送通知被发送至远程位置。所述消息包括确定哪些客户端要接收所述通知的标志(比如报头属性)。本地DXL经纪然后检查所述通知并将所述消息分成n个通知,所述本地DXL经纪将这些通知本地地发送至所有相关目标。因而,例如,当DXL经纪连接至均订阅其自己的私人话题的六个客户端设备,仅所述消息的一个副本需要在网络上出去。DXL经纪然后根据所述推送通知的报头确定其客户端中的哪六个要接收此消息,并将所述消息递送给这六个客户端。这显著地提高了当这些客户端不订阅相同的消息、订阅其自己的私人话题、或订阅不同话题时发送同一类型的推送通知给大量客户端的效率。
图1是具有DXL能力的情境感知网络100的网络级框图。根据本示例,多个DXL端点120连接至DXL企业服务总线(ESB)130(图2)。DXL ESB 130是DXL结构的示例,并且可以设置在现有网络顶部,比如局域网(LAN)。DXL ESB 130不需要具体物理总线,或甚至驻留在物理网络上。反而,DXL ESB 130可以跨多个物理网络和子网络。在概念上,DXL ESB 130简单地是DXL端点120通过其共享DXL消息的“结构(fabric)”,其中,每个DXL消息包括话题,并且只有订阅这个话题的DXL端点120接收针对这个话题的消息和/或对其采取行动。有利的是,DXL ESB可以甚至扩展至不可信或不安全的网络,只要DXL端点120自身是可信的并且可以被充分地认证。因而,例如,在咖啡店操作DXL端点120的远程用户可以仍然能够通过其企业的DXL ESB 130发送和接收DXL消息,只要DXL端点120可以被认证。在一些情况下,DXL端点的网络位置可以影响DXL端点120对某些消息话题是更加可信还是不那么可信。
DXL端点120可以是任何适当的计算设备。在图1的示例中,DXL端点一般被表示为计算设备。在一个示例中,DXL端点120-1可以是嵌入式设备,比如网络安全传感器。DXL端点120-2可以是虚拟机。DXL端点120-3可以是台式或笔记本计算机。还应该注意的是,DXL端点并不限于最终用户或客户端设备。例如,域主机160和域安全控制器(DSC)180还可以具有使得它们自身能够起DXL端点作用的DXL客户端引擎。的确,DXL架构的主要益处在于服务器和客户端可以交换消息,同时仅松散地耦合,并保持对彼此的通信协议和细节不可知。
DXL ESB 130可以是任何类型的物理或虚拟网络连接,合适的数据可以在此连接上传递。目前,对于ESB不存在固定标准或全局标准,并且如在此所使用的术语概括地旨在涵盖任何适用于消息交换的网络技术或拓扑结构。在一个实施例中,消息队列遥测传输(MQTT)消息在端口8883交换。在本示例中,域主机160和DSC 180可以被视为DXL端点120的特殊情况。其他网络元件可以包括共同威胁研究(JTI)服务器、默认网关、代理、和威胁情报服务。任何网络元件可以作为DXL端点加入DXL ESB 130。
被配置成用于对DXL ESB 130起作用或与其一起运行的网络元件可以被称为“DXL端点”。在示例中,这些可以包括DXL端点120、DXL经纪110、和域主机160。
DXL经纪110可以被配置成用于在DXL ESB 130上提供DXL消息传输服务,比如维持DXL路由表和传递消息。
域主机160可以被配置成用于通信地耦连至DXL经纪130。域主机160可以将域数据维持在数据库(比如数据库162)中。在本示例中,域主机160和数据库162被示为两个不同的实体,但应该注意的是,许多种配置是可能的。例如,数据库162可以驻留在域主机160本地的磁盘驱动上或可以单独地或远程地托管。数据库162被举例公开,并且可以是任何适当的数据存储设备,通过非限制性示例包括结构化或相关的数据库、分布式数据库、或平面文件。
DSC 180可以被配置成用于提供域服务,比如辅助和支持服务、抗病毒服务、和/或命令和控制服务。DSC 180可以包括安全管理软件(SMS),所述安全管理软件可以提供网络命令和控制功能。
通过操作性示例,客户端(比如台式机120-3)连接至LAN并接收新的IP地址。此时,台式机120-3的若干特性变得其他网络元件可知,通过非限制性示例包括其IP地址、关于其操作***的信息、和登入用户的用户名。为了便于参考,贯穿本示例,这些被称为“客户端特性”。客户端特性是安全情报数据的实施例,并且对虚拟机120-2感兴趣,所述虚拟机之前已经向域主机160订阅了安全情报数据。
客户端特性可以被两个不同的源同时报告给DXL,即,被台式机120-3,并被网络安全传感器120-1。然而,网络安全传感器120-1可能未能报告用户名值。它还可以报告与台式机120-3所报告的不同的OS值。这可能例如是因为网络安全传感器120-1正远程地感测数据,并且可能不能够与台式机120-3本身一样可靠地确定这些值。
域主机160负责“客户端***”数据域,此数据域包括客户端特性。当台式机120-3和DXL端点120-1公开包含客户端特性的消息时,两个消息都首先被路由至DXL经纪110。DXL经纪110然后可以向域主机160转发客户端特性。
域主机160可以将从这两个源接收的客户端特性组合和调和成单条事实记录,分别包含IP地址、操作***、和用户名的单个值。确切地,可以通过其自己的逻辑(并可能在配置之前)确定与网络安全传感器120-1相比更信任台式机120-3的OS值。因此,当域主机160与台式机120-3冲突时,它可以忽略从网络安全传感器120-1接收的“操作***”值。
经调和的客户端特性被持久地存储在域数据库162中。域主机160可以然后在DXLESB 130上公开这些客户端特性。DXL经纪110可以然后将公开的消息转发至虚拟机120-2,此虚拟机接收客户端特性的单一且最准确值。然而,要注意的是,此调和过程是可选的。在一些情况下,域主机160可以已知,具体的DXL端点120是针对具体消息话题的“最佳”设备,并因此将立即消耗来自这个DXL端点120的消息,而不等待矛盾信息。
随后,DXL端点120-4可以在DXL ESB 130上发送DXL请求,针对台式机120-3询问客户端特性。DXL经纪110接收此请求并自动地将其路由至域主机160。域主机160从域数据库162接收所述客户端特性并发送DXL响应消息,DXL经纪110接收此响应消息并将其转发至DXL端点120-4。要注意的是,虽然本示例中的“公开-订阅”交易是一对多的,“请求-响应”交易是一对一的。
在一些实施例中,DXL的特征可以在于消息传输,所述消息传输允许多个网络元件的松散整合或耦合。松散耦合可以减少DXL端点关于其他DXL端点必须做的假设,比如某些能力、硬件、或软件的存在。根据本说明书的一个或多个示例,DXL是‘即插即用’API,并且通过使得能够在产品之间共享情境可以便于情境感知和自适应安全。
进一步根据本说明书的一个或多个示例,DXL是具有多个部署选项并且高度可缩放的弹性架构。DXL还可以被设计成考虑具有开放性并且使能第三方集成。
DXL ESB 130可以基于两层的协议。“按钮”层是安全、可靠、低时延的数据传输结构,此结构将多种不同的安全元件连接成网格或轴辐式(hub-and-spoke)配置。“顶”层是被配置成便于可信数据表示的可扩展数据交换框架。
在示例中,DXL端点连接至DXL ESB 130。每个DXL端点被指定不同的身份,并在启动时向DXL ESB 130验证自己,例如通过证书或其安全令牌。DXL端点可以通过DXL ESB 130建立一对一的通信,例如通过发送DXL消息,此消息被寻址到具有特定身份的DXL端点。这使得DXL端点能够彼此通信,而不需要建立点到点的网络连接。在示例中,这与人与人的电话通话类似。
在另一示例中,DXL可以提供公开-订阅框架,在该框架中,某些DXL端点“订阅”某种类型的消息。当DXL端点在DXL ESB 130上“公开”这种类型的消息时,所有的用户可以对所述消息进行处理,同时非用户可以安全地忽略它。在示例中,这与播客订阅服务类似。在又另一示例中,DXL可以提供请求-响应框架。在这种情况下,一个DXL端点可以在DXL ESB130上公开请求。接收所述请求的合适DXL端点可以提供响应。有利的是,所述响应可以不只被初始公开所述请求的DXL端点使用。例如,如果DXL端点120公开对对象的名誉的请求,充当DXL端点120的JTI服务器可以通过公开所述名誉进行响应。因而,找到对象实例的其他DXL端点120可以得益于所述响应。例如,DXL端点120可以维持在网络上公开的名誉的综合缓存。如果DXL端点120之后新遇到网络上已知的对象,DXL端点120已经具有所述对象的最新名誉。
可以使用适用于连接这些安全元件的特定基础设施的多种不同的软件元件、模式、和构造来实现DXL ESB 130。例如,在物理企业网络中,可以部署由多个互连的消息经纪组成的消息传输中间软件,其中,端点连接至最近的经纪。在虚拟网络基础设施中,所述结构可以处理管理程序提供的通道。
如上文所提及的,DXL ESB 130可以被配置成用于在另外自主的动态组装的DXL端点之间提供实时可信的数据交换。因而,在示例中,DXLESB 130的概念框架可以包括两个虚拟部件。
安全相关数据的广泛集合被分类至“数据域”。每个数据域是实体、属性、和相互关系的紧密相关子集合。
域主机160是数据提供者,为每个域指定了数据所有权。域主机160充当原始“情报”数据的第一手来源之与数据消费者端点(比如DXL端点120)间的中间可信数据经纪。情报数据可以从数据生产者端点流动至合适的域主机160,并且然后被中继至数据消费者端点比如DXL端点120。要注意的是,在本示例中,“数据生产者”和“数据消费者”的概念是情境角色,并且不一定是物理设备。DXL端点120在一种情境下可以是数据生产者并且在另一种情境下是数据消费者。
在示例中,域主机160可以与数据提供者端点之间建立第一手可信关系。这使得它能够对它从任何具体源接收的数据(比如名誉数据)的质量(包括准确度和可靠性)进行测定。当从多个(独立的)源接(比如不同的DXL端点120)收到复制的零碎数据时,域主机160可以对所述数据进行调和并化解冲突,从而针对每个对象导出事实(比如像,名誉)的单个最有名记录。这保证了DXL端点120接收和谐的数据。
域主机160还可以将数据变换成充分理解的标准化表示。这种表示可以在DXL ESB130上公开,从而使得所有的DXL端点120接收到可使用的数据。
有利的是,DXL端点不需要知道什么设备引起了数据或与其他DXL端点进行了点到点连接,甚至在一对一的通信必需时。反而,DXL客户端软件或DXL扩展部使得DXL端点能够使用其自身的本地API来查询和接收数据。为了提高网络效率,DXL端点可以本地地缓存所接收的数据,此数据可以是可信的,直到它被经授权的DXL消息所取代。例如,DXL端点120可以定于对象的已公开名誉。当对象名誉或者响应于请求响应交易或者以公开-订阅模型被接收时,DXL端点120可以将名誉存储在本地数据库中。所述名誉可以在直到被作废之前是可信的,因为DXL主机160被配置成用于不管它何时接收到更新的名誉都公开名誉更新。因而,来自DXL端点120的频繁个体数据请求变成批量数据订阅,因为已公开的名誉对订阅名誉的所有DXL端点120都是可用的。有利的是,这可以减小数据交换的时延。
在又另一示例中,DXL经纪110提供发现和定位服务,所述发现和定位服务将数据查询和订阅请求应该被路由至的特定域主机160通知给DXL端点。
有利的是,在此所描述的示例DXL架构是灵活的。例如,个体数据源可以在不影响数据消费者的情况下连接网络和从网络断开连接。域主机160可以简单地依赖任何可用的数据源。此外,所述框架关于物理位置或域主机160或域端点确切地怎样部署或配置不做假设。只要每个网络元件有效的DXL消息传输,流量就被正确地路由。
在上述示例中,DXL主机160是逻辑单件,但应该注意的是DXL主机160可以被实现为例如一组分布式服务部件,其中,每个部件为或者域的子集服务或者提供在其他地方运行的服务的本地数据复制品。此类配置可以增强规模、性能、和可靠性。这还可以允许透明地对服务进行重新定位。
进一步有利的是,在此所设置的DXL框架是可扩展的。例如,可以简单地通过创建新的数据域来提供关于新的实体和关系的数据。可以简单地通过为这个域定义新的消息类型来提供现有数据域的新属性和关系。
在示例中,域主机160对恶意软件数据的域具有责任。为了将消息与“恶意软件”域区分开,比如网络状态和设备维护,可以为每一个定义命名空间。例如,名誉域可以使用“MALWARE(恶意软件)”命名空间,网络状态域可以使用“STATUS(状态)”命名空间,并且设备维护域可以使用“MAINT(维护)”命名空间。因而,如果域主机160是名誉域的主机,它知道处理恶意软件命名空间内的消息,并忽略所有其他的。这允许每个域的设计者在不必咨询现有域的情况下指定一组消息,从而避免消息的命名冲突。
例如,名誉域和设备维护域两者可以对消息(比如DOWNLOAD_UPDATES)有用。在名誉域的情况下,此消息可以是用于从JTI服务器150检索已更新定义的指令。在设备维护域,这可以是用于从供应商下载操作***更新的指令。
DXL端点120可以被配置成用于交换来自若干DXL域的数据,并且可以订阅名誉域和设备维护域两者上的消息。因而,DXL端点120-1例如能够通过请求公开名誉更新来解析DXL消息DOWNLOAD_UPDATES并对其进行响应。在一个实施例中,请求恶意软件更新的消息自身可以是DXL消息。在一些情况下,例如当这些更新较大并且不实时需要时,可以在DXL架构外完成更新的传递,从而为轻型告诉消息传输保留DXL。
DXL端点120还会知道它应该通过联系供应商的服务器并请求更新来解析MAINT:DOWNLOAD_UPDATES并对其进行响应。
在域主机160被配置成用于名誉域的主机的情况下,它会知道忽略不在MALWARE命名空间内的所有DXL消息。然而,要注意的是,单个物理设备可以被配置成充当多个域的域主机,在这种情况下,不同命名空间中的流量可以被传递至不同的子例程。在一些实施例中,DXL经纪110可以被配置成对来自多个DXL网络设备的报告进行合成,比如被给予较少权限的DXL端点120,比如DXL ESB 130上的“推荐”权限。
进一步增加可扩展性,通过将新的或更好的数据源整合在域主机160内,可以将其合并。这对DXL端点120和其他DXL端点可以是完全透明的。
DXL经纪110的附加特征可以包括(通过非限制性示例):用于查找己注册端点的服务和位置注册表、可用服务、及其位置;公开/订阅(1:N),请求/响应(1:1),设备到设备(1:1),以及推送通知消息传输接口;经纪之间的优化消息传输;目的地感知消息路由;以及经纪到经纪的故障转移。
有利的是,域主机160不需要考虑每个DXL端点怎样对待已公开消息的。反而,这可以是企业安全策略的问题。
DXL端点120的附加DXL特性可以包括(通过非限制性示例):本地信息总线集成、向发现经纪的API、向DXL认证、以及发送和接收已登记消息。
情境感知网络100的附加一般特征可以包括(通过非限制性示例):DXL经纪以及域主机160的客户端设置和管理;向DXL ESB 130上对端点进行基于策略的授权;基于安全SSL的通信;支持备用通信的代理;以及预先配备有DXL经纪功能(因而将域主机160与DXL经纪110加入一个设备)的域主机装置。
图2是公开了根据本说明书的一个或多个示例的情境感知网络100的上的DXL ESB130的网络图。在本示例中,DXL经纪110-1可以被设计成“枢纽”,同时DXL经纪110-2、110-3、110-4、和110-5可以被设计成“辐条”。在示例中,穿过辐条的所有的DXL流量将被转发至枢纽,此枢纽将使所述流量分散至其他辐条。可以通过任何适当的方式实现将DXL经纪110指定为枢纽,比如基于MAC ID、IP地址、或离域主机160的网络接近度选择枢纽。
如果DXL经纪110-1下线,会至少暂时需要另一枢纽。在这种情况下,可以选择另一枢纽。当DXL经纪110-1回来上线时,取决于网络拓扑结构或设计考虑,它可以恢复其作为枢纽的责任或可以充当辐条。
在另一示例中,在有效地用于DXL经纪110-1时,辐条可以形成临时的网格网络。在又其他实施例中,DXL经纪110可以被配置成在网格配置下全部时间运行。
通过使DXL ESB 130横跨不同网络,可以提供额外的可扩展性,从而使得能够在更大的网络(包括互联网)上交换数据。
DXL经纪110可以被配置成用于提高DXL ESB 130的效率。例如,每个DXL经纪110可以为每个连接的DXL端点120维持一个订阅话题列表。DXL经纪110然后自己订阅这些话题。每个DXL经纪110还维持每个其他DXL经纪110所订阅话题的列表。当DXL经纪110从其DXL端点120中的任何一个接收到消息时,DXL经纪110确定其他哪些经纪订阅了所述DXL消息的话题,并只将所述消息转发给那些经纪。
例如,DXL端点120-42可以是抗病毒定义更新服务器。DXL端点120-52、120-54、120-56、120-34、和120-22可以是已经在其上安装了抗病毒引擎的客户端,所述抗病毒引擎需要来自抗病毒定义更新服务器120-42的抗病毒更新。从而,客户端120-52、120-36、和120-22通过通知其对应的DXL经纪110它们期望订阅此话题来订阅话题ANTIVIRUS_DEFN_UPDATES。DXL经纪10-5、110-3、和110-2它们轮流通过向其他DXL经纪110公开它们现在已经订阅此话题来订阅话题ANTIVIRUS_DEFN_UPDATES。当抗病毒定义更新服务器120-42具有新的可用更新,它可以向ANTIVIRUS_DEFN_UPDATES话题公开消息,从而指示新的抗病毒更新可用。所述消息还可以包括其他信息,比如用于下载这些更新的指令、或指示某个时间之后需要由于过期而忽略消息的截止日期。
DXL经纪110-4从抗病毒定义更新服务器120-42接收消息,并在其自身的DXL路由表进行查找DXL经纪110已订阅了话题ANTIVIRUS_DEFN_UPDATES。DXL经纪110-2、110-3、和110-5订阅此话题,因此DXL经纪110-4向这些经纪中的每一个发送所述消息的副本。它不向未订阅所述话题的DXL经纪110-1发送副本。
接下来,DXL经纪110-2、110-3、和110-5各自将所述消息分发至已经订阅所述话题的其对应DXL端点。有利的是,节省了网络带宽。为了让抗病毒定义更新服务器120-42单独地通知每个客户端,它将不得不发出所述消息的六个个体副本(给每一个订阅的客户端一个)。但在这种情况下,只有三个副本是在DXL ESB 130结构上发送的,并且DXL经纪110然后必要时本地地分发这些副本。这减小了DXL ESB 130的总体带宽需要。
图3是根据本说明书一个或多个示例的客户端设备120的框图。客户端设备120可以是任何适当的计算设备。在各种实施例中,通过非限制性示例的方式,“计算设备”可以是或可以包括:计算机、嵌入式计算机、嵌入式控制器、嵌入式传感器、个人数字助理(PDA)、膝上型计算机、蜂窝电话、IP电话、智能电话、平板计算机、可转换平板计算机、手持计算器或者用于处理和传达数据的任何其他电子、微电子或者微机电设备。
客户端设备120包括连接至存储器320的处理器310,已经在所述存储器中存储了用于提供操作***322和DXL客户端324的可执行指令。客户端设备120的其他部件包括存储设备350、网络接口360以及***接口340。
在示例中,处理器310通过存储器总线370-3与存储器320通信地耦连,所述存储器总线可以例如是直接存储器访问(DMA)总线,虽然其他存储器体系结构是可能的,包括其中存储器320通过***总线370-1或某其他总线与处理器310通信的存储器体积结构。处理器310可以经由***总线370-1通信地耦合至其他设备。如贯穿本说明书所使用的,“总线”包括任何有线或者无线互连线、网络、连接、线束、单条总线、多条总线、交叉式网络、单级网络、多级网络或可操作用于在计算设备的部分之间或在计算设备之间承载数据、信号或电力的其他传导介质。应当注意的是,仅通过非限制性示例的方式来公开这些用途,并且一些实施例这些用法前述总线中的一条或多条总线,而其他实施例可以采用附加或不同总线。
在各种示例中,“处理器”可以包括提供可编程逻辑的硬件、软件或者固件的任何组合,包括(通过非限制性示例的方式)微处理器、数字信号处理器、现场可编程门阵列、可编程逻辑阵列、专用集成电路或者虚拟机处理器。
处理器310可以在DMA配置中经由DMA总线370-3而连接至存储器320。为了简化本公开,存储器320被公开为单个逻辑块,但是在物理实施例中可以包括具有任何一种或多种适当的易失性或非易失性存储器技术的一块或多块,包括例如DDR RAM、SRAM、DRAM、缓存、L1或L2存储器、片上存储器、寄存器、闪存、ROM、光学介质、虚拟存储器区域、磁性或磁带存储器等。在某些实施例中,存储器320可以包括相对低等待时间的易失性主存储器,而存储设备350可以包括相对更高等待时间的非易失性存储器。然而,存储器320和存储设备350无需是物理分离的设备,并且在一些示例中可以仅表示功能的逻辑分离。还应当注意的是,尽管通过非限制性示例的方式公开了DMA,但是DMA并不是与本说明书一致的唯一协议,并且其他存储器架构是可用的。
存储设备350可以是任何种类的存储器320,或者可以是分离的设备,比如硬盘驱动程序、固态驱动程序、外部存储设备、独立磁盘冗余阵列(RAID)、网络附接存储设备、光学存储设备、磁带驱动程序、备份***、云存储设备或前述各项的任何组合。存储设备350可以是或者其中可以包括一个或多个数据库或存储在其他配置中的数据,并且可以包括所存储的操作软件副本(比如,操作***322以及DXL客户端324的软件部分)。许多其他配置也是可能的,并且旨在包括在本说明书的宽泛范围内。
可以提供网络接口360,以便将客户端设备120通信地耦合至有线或无线网络。如贯穿本说明书所使用的“网络”可以包括可操作用于在计算设备内或在计算设备之间交换数据或信息的任何通信平台,通过非限制性示例的方式包括自组织本地网、提供具有电交互能力的通信设备的互联网架构、简易老式电话***(POTS)(计算设备可以使用所述简易老式电话***来执行交易,在所述交易中它们可以由人类操作员来帮助或在所述交易中它们可以自动地将数据键入到电话或其他适当的电子设备中)、提供通信接口或在***中的任何两个节点之间进行交换的任何分组数据网络(PDN)、或任何局域网(LAN)、城域网(MAN)、广域网(WAN)、无线局域网(WLAN)、虚拟专用网(VPN)、内联网、或促进网络或电话环境中的通信的任何其他适当的架构或***。
网络接口360可以被配置成用于将客户端设备120通信地耦合至DXL经纪110。
可以设置DXL客户端引擎324,此DXL客户端引擎可以提供必要的API和服务以便连接至DXL ESB 130。
在一些情况下,还可以设置运行时间代理326,此运行时间代理可以类似地是跨一个或多个设备的硬件、软件和/或固件的任何适当组合。运行时间代理326可以被配置成提供附加或辅助服务,比如抗病毒附图,或者可以提供用于DXL ESB 130的报告功能。在一个示例中,运行时间代理326可以与迈克菲公司提供的迈克菲代理(MA)软件类似。
DXL客户端引擎324和运行时间代理326是“引擎”的示例。如此代理中所使用的,“引擎”包括被配置成用于或可操作用于执行所述引擎的功能的一个或多个逻辑元件,包括硬件、软件、和/或固件。引擎可以自含在单个设备上,或可以跨多个设备。此外,单个设备可以包括多个引擎。为了便于讨论,在此所公开的引擎仅通过示例示为从存储器运行的软件子例程。在一个示例中,引擎是为其主机设备提供必要的API和用于执行具体功能的接口的工具或程序。在其他示例中,可以在硬件、软件、固件或其某个组合中将引擎具体化。例如,在一些情况下,引擎可以包括被设计成用于执行方法或其一部分的专用集成电路,并且还可以包括可操作用于指示处理器执行所述方法的软件指令。在一些情况下,引擎可以作为“守护进程”而运行。“守护进程”可以包括作为后台进程、终止并驻留程序、服务、***扩展、控制面板、启动程序、BIOS子例程或者在没有直接的用户交互的情况下进行操作的任何类似程序而运行的任何程序或者可执行指令系列(无论在硬件、软件、固件或其任何组合中实施)。在其他示例中,引擎可以包括结合除了或者代替栈保护引擎而提供其他硬件和软件(包括交互式或用户模式软件),以便执行根据本说明书的方法
在一个示例中,引擎包括存储在非瞬态计算机可读介质上的可执行指令,当被执行时,所述可执行指令可操作用于执行所述引擎的方法。在合适的时间,比如在引导主机设备时,或在命令来自操作***或用户时,处理器可以从存储设备中检索引擎的被加载至存储器的副本。处理器可以迭代地执行引擎的指令。
***接口340可以被配置成用于与连接至客户端设备120的但不一定是客户端设备120的核架构的一部分的任何辅助设备接口连接。***设备可以可操作用于向客户端设备120提供扩展的功能,并且可能或者可能不完全依赖客户端设备120。在一些情况下,***设备本身可以是计算设备本身。通过非限制性示例的方式,***设备可以包括输入和输出设备,比如,显示器、终端、打印机、键盘、鼠标、调制解调器、网络控制器、传感器、换能器、致动器、控制器、数据采集总线、照相机、麦克风、扬声器或者外部存储设备。
图4是根据本说明书的一个或多个示例的服务器400的框图。服务器400可以是如结合图3而描述的任何适当计算设备。通常,除非另外特别指出,图3的定义和示例可以被认为同样适用于图3。然而,服务器400可以有用地并在概念上用于指一类计算设备,这类计算设备在客户端-服务器架构中提供服务器功能。因而,在某些实施例中,域主机160、DSC180、DXL经纪110、和在此所描述的其他设备都可以是服务器400的各实施例。出于清晰性的目的,并且因为服务器400可以共享许多公共元件,在此对它们一起讨论。
DXL经纪110包括连接至存储器420的处理器410,已经在所述存储器中存储了用于提供操作***422和DXL经纪引擎424的可执行指令。DXL经纪110的其他部件包括存储设备450、网络接口460以及***接口440。
在示例中,处理器410经由存储器总线470-3被通信地耦合至存储器420,所述存储器总线可以是例如直接存储器访问(DMA)总线。处理器410可以经由***总线470-1被通信地耦合至其他设备。
处理器410可以在DMA配置中经由DMA总线470-3而连接至存储器420。为了简化本公开,如结合图3的存储器320而描述的,存储器420被公开为单个逻辑块,但是在物理环境中可以包括具有任何一种或多种适当的易失性或非易失性存储器技术的一个或多个块。在某些实施例中,存储器420可以包括相对低等待时间的易失性主存储器,而存储设备450可以包括相对更高等待时间的非易失性存储器。然而,如结合图3而进一步描述的,存储器420和存储设备450无需是物理分离的设备。
如结合图3的存储设备350而描述的,存储设备450可以是任何种类的存储器420或者可以是单独的设备。存储设备450可以是或者其中可以包括一个或多个数据库或存储在其他配置中的数据,并且可以包括所存储的操作软件副本(比如,操作***422以及DXL经纪引擎424的软件部分)。许多其他配置也是可能的,并且旨在包括在本说明书的宽泛范围内。
可以提供网络接口460,以便将DXL经纪110通信地耦合至有线或无线网络。在一个示例中,网络接口460提供多个逻辑接口,所述多个逻辑接口可以包括单个物理网络接口上的多个逻辑接口、或多个物理网络接口上的多个逻辑接口、多个物理网络接口上的单个逻辑网络接口、或其任意组合。在一个示例中,第一逻辑网络接口被配置成将DXL经纪110通信得耦连至DXLESB 130,包括耦连至DXL ESB 130上的其他DXL经纪110。第二逻辑接口可以被配置成用于将DXL经纪110通信得耦连至多个DXL端点设备,比如DXL客户端110。
存储器420可以包括域安全引擎424的全部或一部分、DXL服务引擎426、和/或运行时间代理326。如联系图3所描述的,各自可以是引擎。
DXL经纪引擎424可以可操作用于提供本说明书中所描述的安全方法。在一个示例中,域安全引擎424可操作用于订阅安全DXL话题,并接收安全相关的DXL消息。域安全引擎424根据在此所描述的方法可以作用于这些消息。域安全引擎还可以被配置成用于充当安全信息和事件管理器(SIEM)装置。在SIEM角色中,域安全引擎可以提供多种服务,比如比较各安全设备、应用程序和数据源(包括一个或多个DXL端点120)所收集的数据。SIEM可以将路由器、交换机、和虚拟机(VM)共同并且然后将数据归一化。从而可以标准化和合成数据。SIEM还可以对数据进行分类,从而检测例如“登录”事件而不管主机操作***。
DXL经纪引擎424还可以被配置成用于检测且作用于或减轻安全事件。“安全事件”包括网络上的任何事件,所述事件指示安全策略的破坏或故意破坏、表示安全威胁、提供安全孔径、或指示安全策略的变化。
可以设置安全编排引擎426从而提供必要的API和服务,以使服务器400能够提供本说明书的安全编排***和方法,包括联系图6和图7所描述的那些功能。
***接口440可以被配置成用于与连接至DXL经纪110的但不一定是DXL经纪110的核架构的一部分的任何辅助设备接口连接。***设备可以可操作用于向DXL经纪110提供扩展的功能,并且可能或者可能不完全依赖DXL经纪110。在一些情况下,***设备本身可以是计算设备本身。通过非限制性示例的方式,***设备可以包括结合图3的***接口340而讨论的设备中的任何设备。
图5是根据本说明书的一个或多个示例的安全企业500的网络层次图。
在图5的示例中,一个或多个用户520操作一个或多个客户端设备120。每台设备可以包括适当的操作***,比如微软Windows、Linux、安卓、Mac OSX、苹果iOS、Unix等。相比一种类型的设备,可能在另一种类型的设备上更经常地使用前述项中的一些项。例如,台式计算机或工程工作站可能更有可能使用微软Windows、Linux、Unix或者Mac OSX之一。膝上型计算机(通常是具有较少定制化选项的便携式的现成设备)更有可能运行微软Windows或者Mac OSX。移动设备更有可能运行安卓或者iOS。然而,这些示例并不旨在是限制性的。
客户端设备120可以经由企业网络570而彼此通信地耦合以及耦合到其他网络资源。企业网络570可以是对一个或多个适当联网协议起作用的任何适当的网络或一个或多个网络的组合,通过非限制性示例包括例如局域网、内联网、虚拟网络、广域网、无线网络、蜂窝网络、或互联网(可选地通过代理、虚拟机、或其他类似安全机制访问)。企业网络570还可以包括一个或多个服务器、防火墙、路由器、交换机、安全装置、抗病毒服务器、或其他有用网络设备,这些在示例中可以被虚拟化在工作负载集群542中。在此展示中,为了简单,企业网络570被示为单个网络,但在一些实施例中,企业网络570可以包括大量网络,比如连接至互联网的一个或多个企业内部网。企业网络570还可以通过外部网络572提供对外部网络(比如互联网)的访问。外部网络572可以类似地是任何适当类型的网络。
工作负载集群542可以被设置为例如机架安装式刀片服务器上的管理程序中运行的虚拟集群、或物理服务器的集群。工作负载集群542可以提供一种或多种服务器功能、或一个或多个管理程序上的一个或多个“微云”。例如,虚拟化环境比如vCenter可以提供定义多个“租户”的能力,其中,租户在功能上彼此分离,并且每个租户起微云的作用。每个微云可以提供一种独特功能,并且可以包括具有许多不同特点的多个虚拟机(VM),包括有代理和无代理VM。还应该注意的是,还可以通过工作负载集群542提供工作端点设备120的一些功能。例如,一种微云可以提供远程台式管理程序比如Citrix工作空间,所述远程台式管理程序允许操作端点120的用户520远程地登录远程企业台式机和访问企业应用程序、工作空间、和数据。在这种情况下,端点120可以是仅运行精简操作***的“瘦客户端”,比如谷歌(Google)Chromebook,并仍为用户120提供对企业资源的有用访问。
被配置成管理控制台540的一个或多个计算设备还可以对企业网络570起作用。管理控制台540可以提供用户界面以供安全管理员550定义企业安全策略,该管理控制台540可以在企业网络570上并跨客户端设备120和工作负载集群542执行。在示例中,管理控制台540可以运行服务器类操作***,比如Linux、Unix、或Windows服务器。在其他情况下,管理控制台540可以被设置为网络接口、设置在台式机类机器上、或通过设置在工作负载集群542内的VM设置。
安全的企业500在网络上会遇到各种“安全对象”。安全对象可以是任何对企业网络570起作用或与其交互的对象和具有实际或潜在安全隐患的对象。在一个示例中,安全对象可以被概括地划分成硬件对象,包括与网络、和软件对象通信或通过其运行的任何物理设备。软件对象可以被进一步细分为“可执行对象”和“静态对象”。可执行对象包括可以主动执行代码或自主运行的任何对象,通过非限制性示例比如应用程序、驱动程序、程序、可执行文件、库、进程、运行时间、脚本、宏、二进制、解释器、经解释的语言文件、具有在线代码的配置文件、嵌入式代码、和固件指令。静态对象可以被概括地指定为并非可执行对象的任何对象或不能执行的任何对象,通过非限制性示例比如文档、图片、音乐文件、文本文件、不具有在线代码的配置文件、视频、和图。在一些情况下,还可以提供混合软件对象,比如像具有内置宏的文字处理文档或具有行内代码的动画。出于安全性目的,这些可以被当做单独类别的软件对象,或可以简单地被视为可执行对象。
企业安全策略可以通过非限制性示例包括认证策略、网络使用策略、网络资源配额、抗病毒策略、以及对客户端设备120上可执行对象的限制。
安全企业500可以跨越安全边界504与外部网络572通信。企业边界504可以表示物理、逻辑、或其他边界。外部网络572可以包括例如网址、服务器、网络协议、和其他基于网络的服务。在一个示例中,应用程序储存库560是通过外部网络572可用的,并且攻击者580(或其他类似恶意或疏忽的行动者)也连接至外部网络572。安全服务提供商590还可以向安全的企业100提供服务。
用户520和安全企业100的目标可以是成功地操作客户端设备120和工作负载集群542,而没有来自攻击者580或来自不想要的安全对象的干涉。在一个示例中,攻击者580是恶意软件作者,其目标或者目的是引起恶意伤害或损害,例如,通过向客户端设备120中注入恶意对象582。一旦恶意对象582获得对客户端设备120的访问,它可以进行工作比如用户520的社交工程、基于硬件对客户端设备120的攻击、修改存储设备350、修改(可以在存储器中运行的)客户端应用程序520、或获得对企业服务器542的访问。
恶意伤害或损害可以采取以下形式:在客户端设备120上安装Rootkit或其他恶意软件以便篡改***、安装间谍软件或广告软件以便收集个人和商用数据、丑化网站、操作僵尸网络(比如邮件服务器)、或仅打搅和骚扰用户520。因此,攻击者580的一个目的可能是在一个或多个客户端设备120上安装其恶意软件。如贯穿本说明书所使用的,恶意的软件(“恶意软件“)包括被配置成用于提供不想要的结果或左不想要的工作的任何安全性对象。在许多情况下,恶意软件对象将是可执行对象,通过非限制性示例包括病毒、木马、僵尸、根程序病毒包、后门、蠕虫、间谍软件、广告软件、勒索软件、拨号器、有效载荷、恶意浏览器辅助对象、跟踪cookie、记录器、或被设计成用于采取可能不想要的行动的类似对象,通过非限制性示例的方式,包括数据毁坏、隐藏数据收集、浏览器劫持、网络代理或重定向、隐藏跟踪、数据记录、键盘记录、过多的或蓄意的移除阻碍、联系人采集以及未授权的自传播。
攻击者580还可能想要承诺工业或其他对抗安全的企业500的间谍活动,比如盗取分类或专属数据、盗取身份、或获得对企业资源的未授权访问。因而,攻击者580的对策还可以包括尝试获得对一个或多个客户端设备120的物理访问并在没有授权的情况下操作它们,从而使得有效的安全策略还可以包括用于防止这种访问的设置。
在另一示例中,软件开发者180可能并非明确地由恶意的意图,但是可能开发造成安全风险的软件。例如,众所周知的且经常被利用的安全缺陷是所谓的缓冲器溢出,其中,恶意用户能够将过长的字符串输入输入表中并且由此获得执行任意指令或者使用提升的特权来操作计算设备的能力。缓冲器溢出可以是例如不良输入验证或使用不安全数据库的结果,并且在许多情况下,在非显而易见的情境中出现。因此,尽管本身不是恶意的,将软件投递至应用程序储存库560的开发者可能无意地为攻击者580提供攻击向量。编写较差的应用程序也可以引起固有问题,比如崩溃、数据丢失或其他非期望的行为。因为来自软件本身可能是期望的,所以开发者在漏洞变得已知时偶尔提供修复漏洞的更新或补丁是有益的。然而,从安全性角度,这些更新和不定本质上是自身必须被验证的新对象。
应用程序储存库560可以表示向用户520提供交互地或自动地下载应用程序并将其安装在客户端设备120上的能力的Windows或Apple“应用程序商店”或更新服务、类UNIX储存库或端口几何、或者其他网络服务。如果应用程序储存库560具有适当的使攻击者580难以分散明显恶意的软件的安全措施,那么攻击者580反而可以暗中将漏洞***到显然有益的应用程序中。
在一些情况下,安全的企业100可以提供对可以安装的应用程序(来自应用程序储存库560)的类型进行限制的政策指示。因此,应用程序储存库560可以包括并非无意开发的且不是恶意软件的但却违背政策的软件。例如,一些企业限制对娱乐软件(如媒体播放器和游戏)的安装。因此,甚至安全的媒体播放器或游戏也可能不适合企业计算机。安全管理员550可以负责分配与此类限制一致的计算策略并将其在客户端设备520上实施。
安全的企业100还可以签订或订阅安全服务提供商590,此安全服务提供商可以提供安全服务、更新、抗病毒定义、补丁、产品、和服务。迈克菲公司是提供综合安全和抗病毒方案的这种安全服务提供商的非限制性示例。在一些情况下,安全服务提供商590可以包括威胁情报能力,比如迈克菲公司所提供的全局威胁情报(GTI)数据库。安全服务提供商590可以通过当新的候选恶意对象出现在客户端网络上时对其进行分析并将其表征为恶意的或良性的来更新其威胁情报数据库
在另一示例中,安全的企业500可以简单地是家庭,具有父母担任安全管理员550的角色。父母会希望保护他们的孩子不受非期望内容(通过非限制性示例的方式,比如,色情作品、广告软件、间谍软件、不符合年龄的内容、对某些政治、宗教或社会运动的倡导、或用于讨论非法或者危险活动的论坛)的影响。在这种情况下,父母可以执行安全管理员550的一些或全部职责。
总的来说,属于或可以被指定为属于前述类别的非期望对象中的任何一个的任何对象可以被分类为恶意对象。当在安全的企业500内遇到未知对象时,最初可以将其分类为“候选恶意对象”。这种指定可以保证其不备赋予完整网络权限,直到所述对象被进一步分析。因而,用户520和安全管理员550的目标是配置和操作客户端设备120、工作负载集群542、和企业网络570从而排除所有恶意对象,并立即且准确地对候选恶意对象进行分类。
图6公开了编排框架的框图。在高层,编排框架如下工作:
a.给定用户限定的安全策略规范(作为第一输入)和关于环境中可用控件类型的信息(作为第二输入),专业算法将所述策略编译至执行计划中。所述计划描述了最优序列,在该序列中,需要与策略特定的决策逻辑一起调用合适控件和个体功能。
b.随后将所述策略(计划)部署在目标环境中。集中式控制器(运行时间)通过实时地以正确序列调用对应的控制功能来编排策略的执行,从而识别匹配的活动、评估策略决策逻辑、并在需要时驱动实时行动。
在示例中,元件包括:
a.脚本平台610,使得用户能够声明性地限定策略。
b.参与的安全控件630提供能力限定和标准化插件。
c.执行计划640(状态机特定的)是从脚本编译的。
d.运行时间编排模块650执行所述计划。
图6展示本框架的实施例如下。应当注意的是,以下实施例仅举例提供,并且并不旨在以任何方式是限制性的。
a.情境感知策略采取规则的形式:[活动/情境/命令]。在此,活动情境描述了目标场景的细节,并且命令描述了与其相关联的期望(安全)动作。命令可以或者是一次性动作,或者有待应用程序的有状态策略,只要情境有效。
b.策略规则是使用声明性(域特定的)脚本语言限定的:
i.用于限定情境的语言词汇基于商业活动的本体。例如,OS和网络活动的本地包括实体(比如文件、进程和TCP连接)、其特性和相互关系、以及操作。具体情境可以表示为此本体上的逻辑命题。例如,一个这种情境可以是具有以下内容的进程:image_file.path=′c:\abc.exe′
ii.这在IP地址=1.2.3.4且端口=443创建了与服务的TCP连接。
iii.用于限定命令的词汇基于相关的实施行动。例如,阻止TCP连接、或终止进程、寻求对用户的双因素认证、或对文件进行加密。
c.参与的空间通过控制规范向框架声明其感测和实施能力。每种类型的控件(例如,文件-和进程监视器、网络监视器、HTTP会话监视器、和地理围栏传感器)具有其自己的规范。每个控件能力映射至语言词汇的特定元素(例如,文件和进程控件可以声明它可以感测(作为情境)文件的路径、和文件创建和执行事件)并且还(作为命令)防止文件被执行。这些规范由控件的开发者或集成者先验地提供。
d.开发者或集成者还实现标准化插件接口,此标准化插件接口允许在运行时间调用控件的已声明能力。此接口跨所有类型的控件是相同的。总之,简单地通过声明规范和实现标准化插件,可以将新的任意控件轻易地结合至***(并潜在地增强其能力)。
e.给定用户定义的(声明性)策略脚本,编译器对可用控制信息进行处理,并将脚本转换成程序性状态机规范形式的优化的执行计划。如果具有相同能力的多个控件可用,所述计划智能地选择具有最低总体成本的一个。
i.例如,上文所描述的样本情境的执行计划可以(i)利用文件和进程监视器来借助以下内容检测文件的执行:
path=′c:\abc.exe′
ii.获得其进程ID,并且然后(ii)利用网络监视器来检测所述进程到远程的TCP连接
IP_address=1.2.3.4;端口=443
iii.要注意的是,这些空间可以借助编排框架独立但协作地工作来感知情境。
f.上述所有步骤可以在部署之前发生。在部署时,可用空间借助其插件向最近的运行时间模型注册自身。运行时间模块然后对给予它的策略执行计划进行编排,由此驱动合适的控件来感测期望的活动情境并(在这些情境中)执行命令。为了这样做,它为每个这种情境维持一个状态机实例。
图7是根据本说明书的一个或多个示例的分布式部署的框图。
在本示例中,运行时间模块650可以被分层地部署在端点上,并在相关控件在网络上的汇聚处。这使能分布式实时相关并使网络通信最小化。
在本实施例中,运行时间模块650的多个实例(即,650-1、650-2、和650-3)跨网络部署以形成层次。例如,运行时间模块可以驻留在每个端点120上。策略执行计划在必要时被分解并被下推至层次中的最低级,从而提高性能并使网络通信最小化。
前述内容概述了若干实施例的特征,从而使得本领域的技术人员可以更好地理解本公开的方面。本领域的技术人员应所述认识到,他们可以容易地将本公开用作设计或修改其他过程以及结构的基础,以便于实施相同的目的和/或实现在此介绍的实施例的相同优点。本领域的技术人员还应意识到,所述等同构造没有背离本公开的精神和范围,并且在不背离本公开的精神和范围的情况下,可做出各种改变、替换和替代。
本公开的特定实施例可以容易地包括片上***(SOC)中央处理单元(CPU)封装件。SOC表示将计算机或者其他电子***的部件整合到单个芯片中的集成电路(IC)。其可以包含数字、模拟、混合信号、以及射频功能,所有这些功能都可以在单个芯片基底上提供。其他实施例可以包括多芯片模块(MCM),多个芯片位于单个电子封装件内并且被配置成用于通过电子封装件彼此密切交互。在各种实施例中,数字信号处理功能可以在专用集成电路(ASIC)、现场可编程门阵列(FPGA)和其他半导体芯片中的一个或多个硅核中实施。
此外,可以移除或以其他方式合并与所描述的微处理器相关联的部件中的一些部件。在一般意义上,在附图中所描绘的安排可以在其表示上可以更合逻辑,而物理架构可以包括这些元件的各种排列、组合和/或混合。必须注意,可以使用无数可能的设计配置来实现在此所概述的操作目标。相应地,相关联的基础设施具有大量替代安排、设计选择、设备可能性、硬件配置、软件实施方式、设备选项等。
任何适当配置的处理器部件可以执行与数据相关联的任何类型的指令,以便实现在此详细说明的操作。在此公开的任何处理器可以将元件或者物品(例如数据)从一种状态或者会中东西转换为另一种状态或者另一种东西。在另一个示例中,在此概述的一些活动可以使用固定逻辑或者可编程逻辑(例如,由处理器执行的软件和/或计算机指令)实施,并且在此标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))、包括数字逻辑、软件、代码、电子指令、闪速存储器、光盘、CD-ROM、DVD ROM、磁性或者光学卡、适合于存储电子指令的其他类型的机器可读介质的ASIC、或者其任何适当的组合。在操作中,处理器可以将信息存储在任何适当类型的非瞬态存储介质(例如,随机存取存储器(RAM)、只读存储器(ROM)、现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程ROM(EEPROM)等)、软件、硬件中或者在适当情况下并基于特定需要存储在任何其他适当部件、设备、元件或者物体中。进一步地,可以在任何数据库、寄存器、表格、缓存、队列、控制列表或者存储结构(所有这些可以在任何适当的时间帧被引用)中基于特定需要和实施方式提供在处理器中被跟踪、发送、接收或者存储的信息。在此所讨论的存储器项中的任何存储器项应当被理解为包括在宽泛术语‘存储器’内。
采用各种形式来具体化实施在此所描述的所有或者部分功能的计算机程序逻辑,包括但决不限于源代码形式、计算机可执行的形式以及各种中间形式(例如,由汇编器、编译器、链接器或者***生成的形式)。在示例中,源代码包括以各种编程语言实施的一系列计算机程序指令,比如,目标代码、汇编语言、或高级语言(比如,与各种操作***或操作环境一起使用的OpenCL、Fortran、C、C++、JAVA或HTML)。源代码可以限定并使用各种数据结构和通信消息。源代码可以采用计算机可执行的形式(例如,经由解释器),或者源代码可以被转换(例如,经由转换器、汇编器、或编译器)成计算机可执行的形式。
在一个示例性实施例中,可以在相关联的电子设备的板上实施附图的任何数量的电路。所述板可以是可以容纳电子设备的内部电子***的各种部件并进一步为其他***设备提供连接器的一般电路板。更具体地,所述板可以提供电连接,***的其他部件可以通过所述电连接来进行电通信。可以基于特定配置需要、处理需求、计算机设计等来将任何适当的处理器(包括数字信号处理器、微处理器、支持芯片组等)、存储器元件等耦合至所述板。如外部存储设备、附加传感器、用于音频/视频显示的控制器、以及***设备等其他部件可以作为***卡而经由线缆附接至所述板,或者整合到所述板本身中。在另一个示例实施例中,附图的电路可以被实施为独立的模块(例如,具有相关联的部件的设备和被配置成用于执行特定应用程序或功能的电路)或者被实施为到电子设备的专用硬件的插件模块。
注意,使用本文中所提供的许多示例,可以关于两个、三个、四个或更多个电气部件来对交互进行描述。然而,已经仅为了清晰和示例的目的而完成了这一点。应理解的是,可以采用任何适当方式来合并所述***。根据类似设计替代方案,可以在各种可能的配置中组合附图中展示的部件、模块和元件中的任一者,所有所述配置在本说明书的广泛范围内。在某些情况下,通过仅参照有限数量的电气元件,可能更容易描述一组给定流程的功能中的一项或多项功能。应当理解的是,附图的电路及其教导是可容易扩展的,并且可以容纳大量部件以及更复杂/成熟的安排和配置。相应地,所提供的示例不应限制如潜在地应用程序到无数其他架构上的电路的范围或抑制其宽泛教导。
许多其他的改变、替代、变更、改变以及修改对本领域技术人员来说是确定的,并且旨在本公开包含了落在所附权利要求书的范围内的所有这种改变、替代、变更、改变以及修改。为了帮助美国专利及商标局(USPTO)以及另外本申请发布的任何专利的任何读者理解本申请所附权利要求书,申请人希望注意本申请人:(a)并不旨在所附权利要求中的任一项因为在本申请的申请日存在而援引35U.S.C.第112章第(6)段(AIA之前)或同一章第(f)段(AIA之后),除非在特定权利要求中确切地使用了字词“用于......的装置”或“用于......的步骤”;并且(b)并不旨在通过本说明书中未在所附权利要求书中反映出的任何陈述以任何方式限制本公开。
示例实施方式
一个示例中公开了一种计算装置,包括:网络接口;具有安全编排服务器引擎的一个或多个逻辑元件,所述安全编排服务器引擎可操作用于:通过所述网络接口从客户端接收上下文数据;将所述上下文数据提供给安全编排状态机,所述安全编排状态机可操作用于从所述上下文数据中导出策略决策;并从所述策略编排状态机接收所述策略决策。
进一步公开了一个示例,其中,所述安全编排服务器引擎进一步可操作用于实施所述策略决策。
进一步公开了一个示例,其中,实施所述策略决策包括向所述客户端发送实施消息。
进一步公开了一个示例,其中,所述实施消息是数据交换层(DXL)消息。
进一步公开了一个示例,其中,向所述客户端发送所述实施消息包括通过应用程序编程接口(API)发送所述消息,其中,所述API对所述实施在所述客户端上的实现是不可知。
进一步公开了一个示例,其中,实施所述策略决策包括与第二设备共同地实施所述策略。
进一步公开了一个示例,其中,从所述上下文数据中导出策略决策包括接收策略目标,所述策略目标包括对所述策略决策的面向结果的声明。
进一步公开了一个示例,其中,通过所述网络接口从所述客户端接收上下文数据包括通过应用程序编程接口(API)接收所述上下文数据,其中,所述API对所述上下文数据的实现是不可知的。
进一步公开了一个示例,其中,所述网络接口是数据交换层(DXL)接口。
进一步公开了一个示例,其中,接收上下文数据包括接收DXL消息。
进一步公开了一个示例,包括一种执行如前述示例中任一项所公开的操作中的任何一个或全部的方法。
进一步公开了一种或多种其上存储有可执行指令的有形非瞬态计算机可读存储介质的示例,所述指令用于指示一个或多个处理器提供安全编排引擎,所述安全编排引擎可操作用于执行前述示例所述操作中的任一项或全部。
进一步公开了提供安全编排引擎的方法,所述方法包括:执行如前述示例所述的操作中的任一项或全部。
进一步公开了一种装置的示例,所述装置包括用于执行所述的方法的装置。
进一步公开了一个示例,其中,该装置包括处理器和存储器。
进一步公开了一个示例,其中,所述装置包括一种或多种有形非瞬态计算机可读存储介质。
进一步公开了一个示例,其中,所述装置是计算设备。
Claims (25)
1.一种计算装置,包括:
网络接口;
一个或多个逻辑元件,包括安全编排服务器引擎,所述安全编排服务器引擎可操作用于:
通过所述网络接口从客户端接收上下文数据;
将所述上下文数据提供给安全编排状态机,所述安全编排状态机可操作用于从所述上下文数据中导出策略决策;以及
从所述策略编排状态机接收所述策略决策。
2.如权利要求1所述的计算装置,其中,所述安全编排服务器引擎进一步可操作用于实施所述策略决策。
3.如权利要求2所述的计算装置,其中,实施所述策略决策包括向所述客户端发送实施消息。
4.如权利要求3所述的计算装置,其中,所述实施消息是数据交换层(DXL)消息。
5.如权利要求3所述的计算装置,其中,向所述客户端发送所述实施消息包括通过应用程序编程接口(API)发送所述消息,其中,所述API对所述实施在所述客户端上的实现是不可知。
6.如权利要求2所述的计算装置,其中,实施所述策略决策包括与第二设备共同地实施所述策略。
7.如权利要求1至6中任一项所述的计算装置,其中,从所述上下文数据中导出策略决策包括接收策略目标,所述策略目标包括对所述策略决策的面向结果的声明。
8.如权利要求1至6中任一项所述的计算装置,其中,通过所述网络接口从所述客户端接收上下文数据包括通过应用程序编程接口(API)接收所述上下文数据,其中,所述API对所述上下文数据的实现是不可知的。
9.如权利要求1至6中任一项所述的计算装置,其中,所述网络接口是数据交换层(DXL)接口。
10.如权利要求9所述的装置,其中,接收上下文数据包括接收DXL消息。
11.一种或多种其上存储有可执行指令的有形非瞬态计算机可读存储介质,所述指令用于提供安全编排服务器引擎,所述安全编排服务器引擎可操作用于:
通过网络接口从客户端接收上下文数据;
将所述上下文数据提供给安全编排状态机,所述安全编排状态机可操作用于从所述上下文数据中导出策略决策;以及
从所述策略编排状态机接收所述策略决策。
12.如权利要求11所述的一种或多种有形非瞬态计算机可读存储介质,其中,所述安全编排服务器引擎进一步可操作用于实施所述策略决策。
13.如权利要求12所述的一种或多种有形非瞬态计算机可读存储介质,其中,实施所述策略决策包括向所述客户端发送实施消息。
14.如权利要求13所述的一种或多种有形非瞬态计算机可读存储介质,其中,所述实施消息是数据交换层(DXL)消息。
15.如权利要求13所述的一种或多种有形非瞬态计算机可读存储介质,其中,向所述客户端发送所述实施消息包括通过应用程序编程接口(API)发送所述消息,其中,所述API对所述实施在所述客户端上的实现是不可知。
16.如权利要求12所述的一种或多种有形非瞬态计算机可读存储介质,其中,实施所述策略决策包括与第二设备共同实施所述策略。
17.如权利要求11至16中任一项所述的一种或多种有形非瞬态计算机可读存储介质,其中,从所述上下文数据中导出策略决策包括接收策略目标,所述策略目标包括对所述策略决策的面向结果的声明。
18.如权利要求11至16中任一项所述的一种或多种有形非瞬态计算机可读存储介质,其中,通过所述网络接口从所述客户端接收上下文数据包括通过应用程序编程接口(API)接收所述上下文数据,其中,所述API对所述上下文数据的实现是不可知的。
19.如权利要求11至16中任一项所述的一种或多种有形非瞬态计算机可读存储介质,其中,所述网络接口是数据交换层(DXL)接口。
20.如权利要求11至16中任一项所述的一种或多种有形非瞬态计算机可读存储介质,其中,接收上下文数据包括接收DXL消息。
21.一种用于提供安全编排服务器引擎的计算机实现的方法,所述方法包括:
通过网络接口从客户端接收上下文数据;
将所述上下文数据提供给安全编排状态机,所述安全编排状态机可操作用于从所述上下文数据中导出策略决策;以及
从所述策略编排状态机接收所述策略决策。
22.如权利要求21所述的计算机实现的方法,进一步包括实施所述策略决策。
23.如权利要求21所述的计算机实现的方法,进一步包括向所述客户端发送实施消息。
24.如权利要求21所述的计算机实现的方法,其中,从所述上下文数据中导出策略决策包括接收策略目标,所述策略目标包括对所述策略决策的面向结果的声明。
25.如权利要求21所述的计算机实现的方法,其中,通过所述网络接口接收上下文数据包括接收数据交换层(DXL)消息。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462068727P | 2014-10-26 | 2014-10-26 | |
US62/068,727 | 2014-10-26 | ||
US14/752,867 US9807118B2 (en) | 2014-10-26 | 2015-06-27 | Security orchestration framework |
US14/752,867 | 2015-06-27 | ||
PCT/US2015/052516 WO2016069158A1 (en) | 2014-10-26 | 2015-09-26 | Security orchestration framework |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106605397A true CN106605397A (zh) | 2017-04-26 |
CN106605397B CN106605397B (zh) | 2021-08-24 |
Family
ID=55792941
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580046197.5A Active CN106605397B (zh) | 2014-10-26 | 2015-09-26 | 安全编排框架 |
Country Status (5)
Country | Link |
---|---|
US (1) | US9807118B2 (zh) |
EP (1) | EP3210146B1 (zh) |
CN (1) | CN106605397B (zh) |
RU (1) | RU2017110056A (zh) |
WO (1) | WO2016069158A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109766124A (zh) * | 2018-12-26 | 2019-05-17 | 深圳左邻永佳科技有限公司 | 业务开发方法、装置、计算机设备和存储介质 |
CN112039871A (zh) * | 2020-08-28 | 2020-12-04 | 绿盟科技集团股份有限公司 | 一种确定调用的网络防护设备的方法及装置 |
CN112202724A (zh) * | 2020-09-09 | 2021-01-08 | 绿盟科技集团股份有限公司 | 一种多合一编排模式的数据汇聚方法及装置 |
CN113791758A (zh) * | 2021-09-01 | 2021-12-14 | 湖南大学 | 一种服务编排本地化执行***及其方法 |
US11503047B2 (en) | 2020-03-13 | 2022-11-15 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012060887A1 (en) | 2010-11-05 | 2012-05-10 | Mark Cummings | Integrated circuit design and operation |
US9106515B2 (en) * | 2012-10-22 | 2015-08-11 | Futurewei Technologies, Inc. | System and apparatus of a software-service-defined-network (SSDN) |
US10205798B2 (en) * | 2013-09-28 | 2019-02-12 | Mcafee, Llc | Merging multiple system trees over a data exchange layer |
CN105531711B (zh) | 2013-09-28 | 2018-10-02 | 迈克菲股份有限公司 | 数据交换层上的上下文感知网络 |
US9807118B2 (en) | 2014-10-26 | 2017-10-31 | Mcafee, Inc. | Security orchestration framework |
US9712555B2 (en) | 2014-12-03 | 2017-07-18 | Phantom Cyber Corporation | Automated responses to security threats |
US9948649B1 (en) * | 2014-12-30 | 2018-04-17 | Juniper Networks, Inc. | Internet address filtering based on a local database |
US9819565B2 (en) * | 2015-01-26 | 2017-11-14 | Ciena Corporation | Dynamic policy engine for multi-layer network management |
US9961076B2 (en) | 2015-05-11 | 2018-05-01 | Genesys Telecommunications Laboratoreis, Inc. | System and method for identity authentication |
US9875373B2 (en) * | 2015-09-28 | 2018-01-23 | International Business Machines Corporation | Prioritization of users during disaster recovery |
US10389742B2 (en) * | 2015-10-21 | 2019-08-20 | Vmware, Inc. | Security feature extraction for a network |
US9832314B2 (en) * | 2015-12-08 | 2017-11-28 | Verizon Patent And Licensing Inc. | Customer representative remote access for troubleshooting smartphones |
AT518298B1 (de) * | 2016-03-07 | 2020-01-15 | Avl List Gmbh | Verfahren zum Erzeugen und Aktualisieren einer fernen Instanz einer Schirmansicht |
US10601863B1 (en) * | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10158628B2 (en) | 2016-06-08 | 2018-12-18 | Bank Of America Corporation | Preventing unauthorized access to secured information systems based on contextual login information |
US10158629B2 (en) | 2016-06-20 | 2018-12-18 | Bank Of America Corporation | Preventing unauthorized access to secured information systems using multi-device authentication techniques |
US11093219B2 (en) | 2016-10-01 | 2021-08-17 | Gunakar Private Limited | System for co-ordination of logical sequence of instructions across electronic devices using visual programming and wireless communication |
CN106897611A (zh) * | 2017-03-03 | 2017-06-27 | 金光 | 无需root权限的安全虚拟移动应用程序运行环境***及方法与应用 |
WO2018236688A1 (en) * | 2017-06-22 | 2018-12-27 | Mark Cummings | SECURITY ORCHESTRATION AND NETWORK IMMUNE SYSTEM DEPLOYMENT FRAMEWORK |
US20190104022A1 (en) * | 2017-09-29 | 2019-04-04 | Intel Corporation | Policy-based network service fingerprinting |
US11477667B2 (en) | 2018-06-14 | 2022-10-18 | Mark Cummings | Using orchestrators for false positive detection and root cause analysis |
US10862895B2 (en) * | 2018-09-28 | 2020-12-08 | Fortinet, Inc. | Logical network abstraction for network access control |
US11182742B2 (en) | 2019-04-05 | 2021-11-23 | Nike, Inc. | Radio frequency identification scanning using the internet of things |
CA3097695A1 (en) * | 2019-07-01 | 2021-01-01 | Citrix Systems, Inc. | Systems and methods for using namespaces to access computing resources |
US11768699B2 (en) * | 2019-10-05 | 2023-09-26 | Microsoft Technology Licensing, Llc | Enforce changes in session behavior based on updated machine learning model with detected risk behavior during session |
CN110944067B (zh) * | 2019-12-27 | 2021-07-16 | 华为技术有限公司 | 一种负载均衡方法和服务器 |
CN113810344B (zh) * | 2020-06-15 | 2023-07-18 | 中国电信股份有限公司 | 安全编排***、设备、方法以及计算机可读存储介质 |
WO2022063699A1 (en) * | 2020-09-22 | 2022-03-31 | Basf Se | Improved combination of protease and protease inhibitor with secondary enzyme |
US20220107845A1 (en) * | 2020-10-05 | 2022-04-07 | Cachengo, Inc. | Integrated edge cloud architecture |
WO2022126266A1 (en) * | 2020-12-16 | 2022-06-23 | Root Evolution Inc. | Systems and methods for user interface automation and api integration |
US11711400B2 (en) * | 2021-01-15 | 2023-07-25 | Home Depot Product Authority, Llc | Electronic access control system |
US11610001B2 (en) | 2021-02-23 | 2023-03-21 | Infocyte, Inc. | Computer system security scan and response |
US20230291794A1 (en) * | 2022-03-14 | 2023-09-14 | Section.io Incorporated | Systems, methods, and storage media for orchestrating a distributed global computing cluster model and interface |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1574792A (zh) * | 2003-06-06 | 2005-02-02 | 微软公司 | 用于执行网络防火墙的基于多层的方法 |
US20080155649A1 (en) * | 2006-12-26 | 2008-06-26 | Sophia Maler | System and method for multi-context policy management |
CN102090086A (zh) * | 2008-07-10 | 2011-06-08 | 艾利森电话股份有限公司 | 用于基于上下文的内容管理的方法和设备 |
CN102141956A (zh) * | 2010-01-29 | 2011-08-03 | 国际商业机器公司 | 用于开发中的安全漏洞响应管理的方法和*** |
CN103918221A (zh) * | 2011-10-03 | 2014-07-09 | 阿尔卡特朗讯公司 | 用于策略决定的规则引擎评估 |
Family Cites Families (36)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
US6697857B1 (en) * | 2000-06-09 | 2004-02-24 | Microsoft Corporation | Centralized deployment of IPSec policy information |
US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
US8015604B1 (en) | 2003-10-10 | 2011-09-06 | Arcsight Inc | Hierarchical architecture in a network security system |
US9027120B1 (en) | 2003-10-10 | 2015-05-05 | Hewlett-Packard Development Company, L.P. | Hierarchical architecture in a network security system |
US8201257B1 (en) | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
US7818328B2 (en) | 2006-01-20 | 2010-10-19 | Siebel Systems, Inc. | API for obtaining unambiguous representation of objects in a relational database |
US20070192824A1 (en) | 2006-02-14 | 2007-08-16 | Microsoft Corporation | Computer hosting multiple secure execution environments |
US20070261055A1 (en) | 2006-05-04 | 2007-11-08 | Samsung Electronics Co., Ltd. | Method and system for the generic and flexible access of available tasks through a user interface |
US9111088B2 (en) | 2006-08-14 | 2015-08-18 | Quantum Security, Inc. | Policy-based physical security system for restricting access to computer resources and data flow through network equipment |
US7814226B2 (en) | 2006-09-19 | 2010-10-12 | Bea Systems, Inc. | System and method for supporting service networks in a service-oriented architecture environment |
US20080250097A1 (en) | 2007-04-04 | 2008-10-09 | Adadeus S.A.S | Method and system for extending the services provided by an enterprise service bus |
US8977673B2 (en) | 2008-08-29 | 2015-03-10 | Red Hat, Inc. | Information on availability of services provided by publish-subscribe service |
US8570905B2 (en) | 2008-09-26 | 2013-10-29 | International Business Machines Corporation | Adaptive enterprise service bus (ESB) runtime system and method |
US8620883B2 (en) | 2009-03-02 | 2013-12-31 | Qualcomm, Incorporated | Apparatus and methods of reconciling different versions of an ordered list |
US8380797B2 (en) | 2009-11-09 | 2013-02-19 | General Electric Company | Business data exchange layer |
US8364745B2 (en) | 2009-11-24 | 2013-01-29 | International Business Machines Corporation | Service oriented architecture enterprise service bus with universal ports |
US8397298B2 (en) | 2009-12-08 | 2013-03-12 | At&T Intellectual Property I, L.P. | Method and system for content distribution network security |
US8868728B2 (en) | 2010-03-11 | 2014-10-21 | Accenture Global Services Limited | Systems and methods for detecting and investigating insider fraud |
US8539234B2 (en) | 2010-03-30 | 2013-09-17 | Salesforce.Com, Inc. | Secure client-side communication between multiple domains |
US8712596B2 (en) | 2010-05-20 | 2014-04-29 | Accenture Global Services Limited | Malicious attack detection and analysis |
US8805938B2 (en) | 2010-06-04 | 2014-08-12 | Xiben New Line Stock Co., Ltd. | Enterprise service bus and message processing method thereof |
US9118702B2 (en) | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
US8595837B2 (en) | 2011-08-29 | 2013-11-26 | Novell, Inc. | Security event management apparatus, systems, and methods |
US20130074143A1 (en) | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
AU2012332957B2 (en) | 2011-11-01 | 2015-07-02 | Google Llc | Systems, methods, and computer program products for managing secure elements |
US8813228B2 (en) | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
US9043874B2 (en) * | 2012-11-28 | 2015-05-26 | Wal-Mart Stores, Inc. | System and method for protecting data in an enterprise environment |
US10389760B2 (en) | 2013-08-19 | 2019-08-20 | Trend Micro Incorporated | Adaptive network security policies |
CN105493093A (zh) | 2013-09-27 | 2016-04-13 | 英特尔公司 | 用于促进对资源的动态的基于上下文访问控制的机制 |
CN105531711B (zh) | 2013-09-28 | 2018-10-02 | 迈克菲股份有限公司 | 数据交换层上的上下文感知网络 |
CN105519041B (zh) | 2013-09-28 | 2019-03-01 | 迈克菲股份有限公司 | 安全连接的框架 |
US20160070908A1 (en) * | 2014-09-10 | 2016-03-10 | Microsoft Corporation | Next generation of security operations service |
US9807118B2 (en) | 2014-10-26 | 2017-10-31 | Mcafee, Inc. | Security orchestration framework |
-
2015
- 2015-06-27 US US14/752,867 patent/US9807118B2/en active Active
- 2015-09-26 RU RU2017110056A patent/RU2017110056A/ru not_active Application Discontinuation
- 2015-09-26 EP EP15854658.0A patent/EP3210146B1/en active Active
- 2015-09-26 CN CN201580046197.5A patent/CN106605397B/zh active Active
- 2015-09-26 WO PCT/US2015/052516 patent/WO2016069158A1/en active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1574792A (zh) * | 2003-06-06 | 2005-02-02 | 微软公司 | 用于执行网络防火墙的基于多层的方法 |
US20080155649A1 (en) * | 2006-12-26 | 2008-06-26 | Sophia Maler | System and method for multi-context policy management |
CN102090086A (zh) * | 2008-07-10 | 2011-06-08 | 艾利森电话股份有限公司 | 用于基于上下文的内容管理的方法和设备 |
CN102141956A (zh) * | 2010-01-29 | 2011-08-03 | 国际商业机器公司 | 用于开发中的安全漏洞响应管理的方法和*** |
CN103918221A (zh) * | 2011-10-03 | 2014-07-09 | 阿尔卡特朗讯公司 | 用于策略决定的规则引擎评估 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109766124A (zh) * | 2018-12-26 | 2019-05-17 | 深圳左邻永佳科技有限公司 | 业务开发方法、装置、计算机设备和存储介质 |
CN109766124B (zh) * | 2018-12-26 | 2022-05-03 | 深圳左邻永佳科技有限公司 | 业务开发方法、装置、计算机设备和存储介质 |
US11503047B2 (en) | 2020-03-13 | 2022-11-15 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
US11991193B2 (en) | 2020-03-13 | 2024-05-21 | International Business Machines Corporation | Relationship-based conversion of cyber threat data into a narrative-like format |
CN112039871A (zh) * | 2020-08-28 | 2020-12-04 | 绿盟科技集团股份有限公司 | 一种确定调用的网络防护设备的方法及装置 |
CN112039871B (zh) * | 2020-08-28 | 2022-04-19 | 绿盟科技集团股份有限公司 | 一种确定调用的网络防护设备的方法及装置 |
CN112202724A (zh) * | 2020-09-09 | 2021-01-08 | 绿盟科技集团股份有限公司 | 一种多合一编排模式的数据汇聚方法及装置 |
CN113791758A (zh) * | 2021-09-01 | 2021-12-14 | 湖南大学 | 一种服务编排本地化执行***及其方法 |
CN113791758B (zh) * | 2021-09-01 | 2022-05-17 | 湖南大学 | 一种服务编排本地化执行***及其方法 |
Also Published As
Publication number | Publication date |
---|---|
RU2017110056A3 (zh) | 2018-09-27 |
US9807118B2 (en) | 2017-10-31 |
CN106605397B (zh) | 2021-08-24 |
EP3210146B1 (en) | 2020-06-10 |
EP3210146A4 (en) | 2018-05-30 |
RU2017110056A (ru) | 2018-09-27 |
US20160119379A1 (en) | 2016-04-28 |
EP3210146A1 (en) | 2017-08-30 |
WO2016069158A1 (en) | 2016-05-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106605397A (zh) | 安全编排框架 | |
US11244070B2 (en) | Adaptive remediation of multivariate risk | |
US20230110131A1 (en) | Internet of things | |
CN113302609B (zh) | 用人工智能检测存在未认证的api请求时的不当活动 | |
Fremantle | A reference architecture for the internet of things | |
CN104246785A (zh) | 用于移动应用声誉的众包的***和方法 | |
CN105519041A (zh) | 安全连接的框架 | |
US10243959B1 (en) | Secure cloud computing framework | |
Hassan et al. | Cloud computing survey on services, enhancements and challenges in the era of machine learning and data science | |
Kaushik et al. | Security and trust in iot communications: Role and impact | |
US20210200595A1 (en) | Autonomous Determination of Characteristic(s) and/or Configuration(s) of a Remote Computing Resource to Inform Operation of an Autonomous System Used to Evaluate Preparedness of an Organization to Attacks or Reconnaissance Effort by Antagonistic Third Parties | |
US11444968B1 (en) | Distributed system for autonomous discovery and exploitation of an organization's computing and/or human resources to evaluate capacity and/or ability to detect, respond to, and mitigate effectiveness of intrusion attempts by, and reconnaissance efforts of, motivated, antagonistic, third parties | |
CN116601630A (zh) | 通过动态蜜罐数据库响应生成防御目标数据库攻击 | |
Kuzminykh et al. | Analysis of assets for threat risk model in avatar-oriented IoT architecture | |
Petrakis et al. | iXen: Secure Service Oriented Architecture and Context Information Management in the Cloud. | |
Thakral et al. | Cybersecurity and ethics for IoT system: A massive analysis | |
Bhardwaj et al. | ISF: Security analysis and assessment of smart home IoT-based firmware | |
Derfouf et al. | Smart intrusion detection model for the cloud computing | |
Arul et al. | Supervised deep learning vector quantization to detect MemCached DDOS malware attack on cloud | |
Suciu et al. | Lego methodology approach for common criteria certification of IoT telemetry | |
Moratelli et al. | Privacy and security of Internet of Things devices | |
Hawasli | azureLang: a probabilistic modeling and simulation language for cyber attacks in Microsoft Azure cloud infrastructure | |
Farroha et al. | Developing corporate services in an agile environment | |
Routh et al. | Uncovering Cloud Security Complexities-A Comprehensive Five-Perspective Taxonomic Review | |
Loupos et al. | A Holistic Approach for IoT Networks’ Identity and Trust Management–The ERATOSTHENES Project |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address | ||
CP03 | Change of name, title or address |
Address after: Texas, USA Patentee after: MCAFEE, Inc. Address before: California, USA Patentee before: MCAFEE, Inc. |
|
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230628 Address after: California, USA Patentee after: MASA ROBRA USA LLC Address before: Texas, USA Patentee before: MCAFEE, Inc. |